• 締切済み

RTX1000のipsec接続

 現在、RTX1000を使用して、本店・支店間のVPN接続の(CATVの固定アドレスを本店・支店で使用しています。)構 築をしています。本店・支店ともサーバーをたてずに、ピアツーピアの設定です。  本店・支店ともインターネットは見ることができますし メールも送受信できます。 webアシスタントの・・・現在のIPsec設定では状態はUPになってい て、相手方のルーターにPingも通ります。  現在設定をしているPCはWin2000ですが、 マイコンピュータ→ネットワークとダイヤルアップ→新しい接続の作成 で仮想プライベート接続を作成すると、 ※.※.※.※に接続中と出てと20秒くらいすると エラー678:応答がありませんでした。とメッセージが出てしまいます。・・・ 現在では、やれることはすべてやったつもりなのですが・・・皆目見当もつきません・・・どなたかお力をお貸しいただけませんでしょうか?

みんなの回答

  • suzui
  • ベストアンサー率67% (199/297)
回答No.6

設定を読みましたが、フィルタには原因と思われるような項目はありませんでした。 本店と支店のルータ設定を比較していったのですが、 本店側で、 nat descriptor masquerade static 1 1 ***.***.***.*** udp 500 nat descriptor masquerade static 1 2 ***.***.***.*** esp となっているのは、実際は nat descriptor masquerade static 1 1 192.168.11.1 udp 500 nat descriptor masquerade static 1 2 192.168.11.1 esp になっていますよね? 書き込む際にプライベートIPなのに、間違って隠してしまったのだと思いますが、念のため・・・ もしかしたらルータやVPNには問題がなくて、単にPCにファイアウォールソフトウェアが入っていて、pingやファイル共有を拒否する設定になっているのかもしれません。 支店側のPCに、もしそのようなソフトが入っていたら、一度、無効にして試してみてください。 それと、共有のテストを逆方向でやってみてください。 本店側PCに共有を作成し、支店から \\192.168.11.119\共有名 でアクセスできるかどうか。 たぶんできると思うんですが・・・

k-kita119
質問者

お礼

 suzuki様ありがとうございました。 今回は結局、自分のVPNとIpsecの理解不足でした。 最終的にはファイル共有を目的としていたのですが、 スタート→ファイル名を指定して実行→\\相手のアドレス を教えていただいた時に入力部分の\\を入力していなか ったため相手方の共有ファイルが見えませんでした。  設定的には、多分問題がなかったと思うのですが、 VPNの接続したときの最終的なイメージがわかっていなくて 進めたのに問題があった思います。  今回は非常に勉強になりました。Suzuki様ありがとう ございました。

  • suzui
  • ベストアンサー率67% (199/297)
回答No.5

今回の本店・支店間接続の目的はなんですか?Windows PC同士のファイル共有ですか? たぶんそうだと思ってコメントを続けていますが、 正常に接続された場合の確認としては、ネットワークコンピュータの表示ではなくて、 PC間でファイル共有ができていることを最終的な確認項目としたほうがいいです。 \\コンピュータのIPアドレス\共有名 ですね。 中間の確認項目としては、IPのレベルで確認するので、 pingを使っているわけですが、支店からpingして本店から返事がきているので、 双方向の通信はVPNを使ってできていると、 基本的には言っていいと思います。 ただ、本店からpingして支店から返事がこないのが謎ですね。 もう少し設定を読んでみます。 フィルタ関連で問題があるのであれば、ログを取れる設定にして、ルータのログを確認すれば、どのフィルタで落とされているか分かると思います。

  • suzui
  • ベストアンサー率67% (199/297)
回答No.4

少し見えてきましたね。 この時点でいえることは、PCに仮想プライベート接続を作る必要はなさそうだ、ということです。 それから、本店のPCから支店のルータにpingを打って帰ってくるので、本店PC・本店ルータ・支店ルータくらいは正常の可能性があります。 次は、支店PCのIPアドレス・サブネットマスク・デフォルトゲートウェイを確認してください。 支店の人に頼んで、支店のPCから、 192.168.12.1 (支店ルータ) 192.168.11.1 (本店ルータ) 192.168.11.119 (本店PC) にpingを打ってもらい、結果を調べてみてください。 もしかしたら設定でpingをフィルタしているかもしれないので、実際にやりたいことが例えばファイル共有であれば、 \\支店PCのIPアドレス というのを本店PCの スタートメニュー>ファイル名を指定して実行 で試してみてください。 支店PCでファイルを共有していれば、共有リソースが表示されるかもしれません。 それでもだめなら、支店ルータの設定を書き込んでみてください。 参考URLととても似た構成なので、確認してみてください。

参考URL:
http://netvolante.jp/solution/vpn/case1/example2.html
k-kita119
質問者

補足

 いろいろありがとうございます。 こんな事を今さら聞くのもなんなのですが、実際に 接続できた場合は、どのような表示になるのでしょうか? マイネットワーク上に支店のPCが表示されるのでしょうか?????  現在支店にて(当社ではパソコンの使用できる者が すくないので)Ping調査をしました。 結果は 192.168.12.1 (支店ルータ)・・・・OK 192.168.11.1 (本店ルータ)・・・・OK 192.168.11.119 (本店PC)・ ・・・OK でした。 \\支店PCのIPアドレス というのを本店PCの スタートメニュー>ファイル名を指定して実行 で試してみてください。 支店PCでファイルを共有していれば、共有リソースが表示されるかもしれません。 →支店から、本店PC119(共有フォルダあり) で上記コマンドを使用しましたが。駄目でした。 それでもだめなら、支店ルータの設定を書き込んでみてください。 →支店の設定を書き込みます。 ip lan1 address 192.168.12.1/24 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.12.2-192.168.12.254/24 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.12.1 udp 500 nat descriptor masquerade static 1 2 192.168.12.1 esp ip filter 100099 pass * * * * * ip filter 101001 reject 192.168.12.0/24 * * * * ip filter 101011 reject * 192.168.12.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101031 pass * * tcp * ident ip filter 101080 pass ***.***.***.*** 192.168.12.1 udp * 500 ip filter 101081 pass ***.***.***.*** 192.168.12.1 esp ip filter 101082 pass ***.***.***.*** ***.***.***.*** udp 500 ip filter 101083 pass ***.***.***.*** ***.***.***.*** esp * * ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp ip lan2 nat descriptor 1 ip lan2 address ***.***.***.***/** ip route default gateway ***.***.***.*** dns server ***.***.***.*** dns private address spoof on ip lan1 secure filter in 100099 ip lan2 secure filter in 101001 101020 101021 101022 101023 101024 101025 101030 101031 101080 101081 ip lan2 secure filter out 101011 101020 101021 101022 101023 101024 101025 101082 101083 101099 dynamic 101080 101081 101082 101083 101084 101098 101099 ip lan2 intrusion detection in on reject=on tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 ***.***.***.*** ipsec ike pre-shared-key 1 text ********* ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 ipsec auto refresh on ip route 192.168.11.0/24 gateway tunnel 1

  • suzui
  • ベストアンサー率67% (199/297)
回答No.3

>すいません・・・僕自身VPNのことが勉強不足で・・・ あせらず少しずつ明確にしていけば解決できるはずです。 それには事実を確認することが必要です。 以下の点について教えてください。 1.本店と支店の両方にRTXがありますか? 2.書き込んでくださったのは本店のRTXの設定ですか? 3.本店のサブネットは192.168.11.0/24で、 支店のサブネットは192.168.12.0/24でしょうか。 4.テストしているWindows 2000 PCは本店にありますか?それとも支店にありますか? 5.テストしているPCのIPアドレス・サブネットマスク・デフォルトゲートウェイは何ですか? 6.pingの対象としている、相手のアドレスは? うまくいった場合と失敗した場合の両方を教えてください。

k-kita119
質問者

補足

ありがとうございます。 >1.本店と支店の両方にRTXがありますか? → 本店・支店ともRTX1000です。 2.書き込んでくださったのは本店のRTXの設定ですか? → はい、本店のRTXの設定です。 3.本店のサブネットは192.168.11.0/24で、 支店のサブネットは192.168.12.0/24でしょうか。 → はい。本店 192.168.11.0/24で、      支店 192.168.12.0/24です。 4.テストしているWindows 2000 PCは本店にありますか?それとも支店にありますか? → テストしているWindows2000は本店です。 5.テストしているPCのIPアドレス・サブネットマスク・デフォルトゲートウェイは何ですか? → テスト機の   IP 192.168.11.119 サブネット 255.255.255.0   デフォルトゲートウェイ   192.168.11.1です。 6.pingの対象としている、相手のアドレスは? → 成功のIP 192.168.12.1(支店側のルーターです。)   失敗のIP 192.168.12.130(支店側の任意のPCです。)       

  • suzui
  • ベストアンサー率67% (199/297)
回答No.2

本店と支店の両方にRTXがあって、 LAN間接続を行っているのではありませんか? 「現在のIPsec設定では状態はUP」 という表現があるのでそう思いました。 ルータ間でVPN接続が完了していれば、 PCからVPN接続する必要はないと思います。 支店のPCから本店のPCが見えていませんか? pingなどで確認してみるといいと思います。 違っていたらすみません。 もし違うようなら、可能な範囲でRTXの設定を書き込んでみてください。何かわかるかもしれません。

k-kita119
質問者

補足

 早速のお返事ありがとうございます。 すいません・・・僕自身VPNのことが勉強不足で・・・ >ルータ間でVPN接続が完了していれば、 PCからVPN接続する必要はないと思います。 suzukiさんの言われるような上記の状態 >支店のPCから本店のPCが見えていませんか? pingなどで確認してみるといいと思います。 については、相手方のルターにはPingが通りますが、他のPCには通りません。 参考までにLogを添付します。 宜しくお願いします。 ip route default gateway ***.***.***.*** ip route 192.168.12.0/24 gateway tunnel 1 ip lan1 address 192.168.11.1/24 ip lan1 secure filter in 100099 ip lan2 address ***.***.***.***/** ip lan2 secure filter in 101001 101020 101021 101022 101023 101024 101025 10103 0 101031 101080 2 3 ip lan2 secure filter out 101011 101020 101021 101022 101023 101024 101025 1010 82 101083 101099 dynamic 101080 101081 101082 101083 101084 101098 101099 ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 1 tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike local address 1 ***.***.***.*** ipsec ike pre-shared-key 1 text ********* ipsec ike remote address 1 ***.***.***.*** tunnel enable 1 ip filter 2 pass * * esp * * ip filter 3 pass * * udp * 500 ip filter 100099 pass * * * * * ip filter 101001 reject 192.168.11.0/24 * * * * ip filter 101011 reject * 192.168.11.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101031 pass * * tcp * ident ip filter 101080 pass ***.***.***.*** 192.168.11.1 udp * 500 ip filter 101081 pass ***.***.***.*** 192.168.11.1 esp ip filter 101082 pass ***.***.***.*** ***.***.***.*** udp 500 ip filter 101083 pass ***.***.***.*** ***.***.***.*** esp * * ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 ***.***.***.*** udp 500 nat descriptor masquerade static 1 2 ***.***.***.*** esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.2-192.168.11.254/24 dns server ***.***.***.*** dns private address spoof on

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.1

こんばんは RTX シリーズは扱ったことが無いのですが、 一般的なIPSec のお話はできるので、 その範囲で対応させていただきますね。 まず、ネットワークですが、 --/本店/--[RTX1000]---/Internet/---[Router]---/支店/--[PC(Win2000)] VPN Server:RTX1000 VPN Client:PC(Win2000) 以上のような構成で、宜しいのでしょうか? この場合、注意点は以下の項目です。 ・Router でVPN パケットをNAT せずに通過させる、  ”VPN パススルー”等の機能が有効になっているか  確認してください。 ・RTX1000 側のログを確認し、対向のPC からのネゴシエーションが  どこまで進んでいる確認してください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • RTX1000でIPSecとPPTPを同時に利用したい

    YAMAHAのRTX1000を使って固定IPアドレスを持つ3拠点間(A,B,Cとします)のVPN(IPSec)が既に構築されていますが、出先などでノートパソコンから拠点AへVPN(PPTP)で接続したいと考えています。 既にIPSecが設定してあるRTX1000にPPTPで接続するように設定を追加することは可能でしょうか。 もしくはこのような場合はどのようにするのがベストでしょうか。よろしくお願いいたします。

  • isp回線2本をyamaha RTX810で使用

    インターネット回線を2本使用し、利用可能でしょうか。 機種はヤマハRTX810ですが、現在はフレッツ光でRTX810にVPN(ipsec)で接続しています。 nat descriptorでそれぞれを接続していますが、本社接続用VPN(設定変更不可)を 接続し、ルータ機能をLAN1側に設定したく考えています。 ご教授お願いします。

  • IPsec-VPNについて

    2拠点間のVPN接続について教えて頂ければと思い質問いたしました。 本店-出張所間のLAN接続を行いたいと思います。 本店にはSSG5というVPNルータが既に入っていて、他の営業所とは 固定IP契約にて(ルータ機種は様々)IPsec-VPNで繋いでいます。 今回、出張所とつなぎたいのですが、出張所はすでに光回線で インターネット接続しているのですが、生憎、固定IPの契約とはなっては おりません。なお、出張所に置く予定のルータ機種は検討中です。 このような状況で、本店-出張所間をIPsec-VPNで繋ぎたいと思うのですが、 可能なのでしょうか? 人づてでお聞きした情報ですと、片方が固定IPでもう片方が動的IPでも IPsec-VPN接続は可能、とお聞きしたのですが、どういった設定なのか、 また設置するVPNルータがどういう機種になるのか、までは判りませんでした。 お手数でございますが、 こういったことが実際可能なのかどうか、また実績の情報や、推奨機種や 情報ソースなどをご教授いただけましたらありがたいです。 よろしくお願いいたします。

  • IPsec

    server 2003 standard edition でIPsecを使用する際の設定方法(設定箇所?)について教えてください。 PPTP接続でのVPNはできたのですがIPsecでの接続がどうしてもできません><  また参考になるサイトがあったら教えてください。 よろしくお願いします。

  • RTX1200 共有フォルダに接続できない

    お世話になります。 RTX1200を使用して、VPN接続をしました。 VPNは接続されて入るものの、Windowsへの共有フォルダが接続が出来ません。 どのようにすれば良いかご教示下さい。 (1)相手先へのPINGは疎通できています。 (2)VPNはUPになっています。 (3)共有フォルダに接続が出来ない。 (4)「サブネットマスクを変えろ」という情報もありますが、  変更すると疎通が出来なくなってしまいます。 (5)サンプル設定がありましたら、教えて下さい。  (YAMAHA公式サイトで設定してます。) (6)Windows側の設定では、同じ「ホームグループ」に属しています。 (7)Windows側の共有フォルダでは、「everyone」に設定しています。 【基本情報】 接続元:192.168.100.0/24 接続先:192.168.0.0/24

    • ベストアンサー
    • VPN
  • Windows標準のVPNでのipsecについて

    YAMAHAのRTX1100をVPNサーバーとして、社員が外出先からリモートで VPN接続しようと考えています。 このルーターはPPTPの同時接続数は4までなので、ipsecを使用してと 考えているのですが、ipsecの場合、WindowsXP,7標準のVPNクライアント機能 では接続できないという記事を見ました。 やはり、できないのでしょうか? VPNクライアントソフトはあるようですが、非常に高いので躊躇しています。 よろしくお願いします。

  • IPSECとL2TP/IPSECの違いについて

    基本的な事ですいません。よくわからなくて困っておりますので助けていただけると助かります。 ヤマハのルータRTX1100と107eを使って2拠点間VPNを構築しようと思っています。ipsecを使う予定なのですが、ヤマハのサイトなど色々調べても、l2tp/ipsecでのVPNの設定例はiphoneやipadと拠点をつなぐ例になっているものばかりで、ルータを使っての拠点間VPNの場合はipsecの設定が紹介されています。 そもそもルータでつなぐ拠点間VPNの場合は選択肢としてl2tp/ipsecを使うことはできないのでしょうか? (意味ないのでしょうか?) l2tp/ipsecの方が新しいファームから実装されているようなので、スピードやセキュリティ面でもそちらを使った方がいいのかなと思っているのですが(単純ですいません) l2tp/ipsecを使うべきかipsecのみでいいのか教えていただけると幸いです

  • VPN IPSEC接続に関して

    恐れ入りますがIPSEC_VPNに関してご教授ください。 IPSEC対応ルーター「NTT_Webcaster7000」を導入してのVPNを検討しています。 WAN側は固定グローバルIPでサイトToポイントでの運用を考えています。 クライアントは必要時にWindowsのクライアント機能を使ってIPSECにて接続をすることを考えています。拠点間での接続は考えていません。 そこでですがPPTPでの構成時はPPTPサーバへのアクセスのたびにWindows仮想 プライベートネットワークを使用してダイアルアップ接続の要領で接続をしていましたがIPSECの場合も同様の手順での接続ができると考えてよろしいのでしょうか? 恐れ入りますがよろしくお願いいたします。 ※PPTPでの運用は考えておりません。

  • FortiGate50B VPN-IPSECの接続について

     FortiGate50Bで拠点間VPNの接続設定しているのですが、VRN>IPSEC>モニタ にて、各接続先の「トンネルがアップ状態」=「↑」(緑色)になっているのですが、各拠点先のルーターへpingが通りません。 設定内容が足りないのか・・・、ヒントになるような内容でも教えていただければと思います。 ■VPN>IPSEC>AutoKey(IKE) ・暗号化:AES 認証:SHA1 ・リプレイ検知を有効 ・PFSを有効にする ・DHグループ:"2" ・自動鍵キープアライブ:有効 ・Quick Mode Selector ※下記の各拠点ごとに送信元アドレス、宛先アドレスを設定 <A拠点アドレス> 172.26.12.0/24 <B拠点アドレス> 192.168.11.1/24 ■ファイアウォール>ポリシー>Internal>wan1 ・IPSECにて設定済み よろしくお願いします。

  • VPN経由でのインターネット接続に関して質問致します。

    VPN経由でのインターネット接続に関して質問致します。 YAMAHA RTX1200を使用し、本社-支店間をIPSecにてVPN接続しています。 この時、支店からのインターネット接続(WEB閲覧)を本社経由で行いたいと考えています。 理由はある特定のURLが本社の固定IPでのみアクセス可能となっている為、本社からでしかアクセス出来ない為です。 支店側のRTXにてip route設定をトンネルに向けましたが、うまくルート解決が出来ませんでした。 本社(192.168.0.1)-支店(192.168.20.1)でVPN接続(トンネル1とします)をしている状態で、 特定URLのIPアドレスをip routeにてトンネル1にしても192.168.0.1にしても旨く行きません。 tracertコマンドで見てみると・・・ 192.168.20.1 192.168.0.1 この後は・・・解決出来ずに「* * *」が続いてしまいます。 どのように設定すれば支店からVPN経由で本社からネットに出て行くのでしょうか? 尚、本社側のネット接続はVPN接続しているRTX12001台で行っています。 特定URL先はデータを扱う為、極力PROXYサーバは使用したくありません。 無知な私で申し訳御座いませんが、何卒御教授の程宜しく御願い申し上げます。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する